Suchen

12 Tipps für eine schlanke ISMS-Einführung ISO 27001 mit wenig Aufwand umsetzen

Autor / Redakteur: Robert Hellwig / Stephan Augsten

Immer mehr Unternehmen widmen sich der Implementierung eines Managementsystems, um die Informationssicherheit ganzheitlich steuern zu können. Bei der Umsetzung hilft der internationale Standard ISO 27001. Um jedoch unnötigen Aufwand von Vornherein zu vermeiden, gibt dieser Beitrag praktische Hilfestellungen.

Firma zum Thema

Die Umsetzung effizienter Security-Management-Prozesse erfordert einige Vorarbeit und Planung.
Die Umsetzung effizienter Security-Management-Prozesse erfordert einige Vorarbeit und Planung.
(Bild: © rangizzz - Fotolia)

Nach den Beobachtungen der mikado ag wird in jüngster Zeit verstärkt in den Aufbau ISO/IEC 27001-konformer Informationssicherheits-Managementsysteme (ISMS) investiert. Hintergrund ist vor allem, dass sich einerseits hinter der IT-Sicherheit sehr komplexe Anforderungen verbergen, die bei der klaren Definition der individuellen Sicherheitsanforderungen beginnen und bis zum ständigen Monitoring reichen.

Andererseits wurden von den Unternehmen zwar vielfältige Security-Maßnahmen realisiert, die jedoch vielfach nicht in aller Konsequenz aufeinander ausgerichtet sind, weil sie bei ihrer Realisierung jeweils einen speziellen Fokus hatten. Deshalb fehlt häufig ein durchgängiges Managementsystem als gemeinsame Grundlage und Zielrichtung für die einzelnen Facetten der Security-Politik.

Entsprechende Maßnahmen beschreibt die international etablierte Norm ISO/IEC 27001. Zu ihren Kernelementen gehören Sicherheitsrichtlinien, die eine führende und ordnende Funktion für die gesamten Security-Maßnahmen haben. Gleichzeitig definiert eine solche Policy die Maßstäbe, anhand derer regelmäßig die Funktionsfähigkeit und Angemessenheit der einzelnen Elemente bewertet werden und mit denen sich konkrete Erfordernisse für Optimierungen identifizieren lassen.

Ohne ein solches ISMS sind die Bedingungen in der Informationssicherheit nicht ganzheitlich steuerbar und können unbemerkt relevante Sicherheitsdefizite entstehen. Dies haben Unternehmen wie Behörden inzwischen erkannt.

Daraus resultiert ein zunehmender Trend zur Einführung von ISO/IEC 27001-basierten Informationssicherheits-Managementsystemen. Auch der Gesetzgeber fordert dies teilweise schon, beispielsweise sollen nach dem Willen der Bundesnetzagentur die Netzbetreiber unter den Energieversorgern bis nächstes Jahr ein nach ISO/IEC 27001 zertifiziertes Managementsystem vorweisen.

Da Unternehmen und Behörden bei der Einführung eines ISMS Neuland betreten, hat das Beratungshaus Mikado einige praxisbewährte Empfehlungen zusammengestellt. Sie zielen auch auf eine schlanke Realisierung ab und werden auf den folgenden Seiten vorgestellt.

1. Fürsprecher in der Chefetage gewinnen: Ein Managementsystem für die Informationssicherheit kann nur fruchten, wenn es auf allen Ebenen des Unternehmens eine wirksame Unterstützung erfährt. Deshalb sollte frühzeitig ein Schulterschluss mit der Geschäftsleitung herbeigeführt werden, indem sie aktiv in die Planungen zu ISO/IEC 27001 einbezogen wird.

2. Branchenspezifischen Anforderungen berücksichtigen: In zunehmendem Maß entwickeln Branchenverbände Vorschriften für die Informationssicherheit, teilweise werden sie auch – wie etwa im Fall der Energieversorger – vom Gesetzgeber vorgegeben. Sie müssen zwingend in die Ausrichtung des ISMS einbezogen werden, sofern sie nicht sowieso bereits Bestandteil der eigenen Compliance sind.

3. Das ISMS leben und nicht nur ein Zertifikat besitzen wollen: So wichtig gegenüber Kunden und Geschäftspartnern eine Zertifizierung als Ausweis der Informationssicherheit sein kann, so wenig liegt der eigentliche Wert in einer solchen Etikettierung. Vielmehr muss das ISMS zu einem integralen Element der Unternehmensorganisation werden.

4. Mit einer GAP-Analyse beginnen: Auch wenn sie vielfach noch nicht den ISO/IEC-27001-Ansprüchen genügen, bestehen im Regelfall bereits IT-Sicherheitsmaßnahmen. Darauf gilt es soweit wie möglich aufzubauen, um den Implementierungsaufwand für ein ISO-konformes Informationssicherheits-Managementsystem zu begrenzen. Welche bereits etablierten Verfahren sich nutzen lassen, ermittelt die GAP-Analyse.

5. Unrealistische Projektierungszeiten vermeiden: So selbstverständlich anspruchsvolle Ziele sein sollten, so kontraproduktiv können sie bei einer zu ehrgeizig angelegten Realisierung werden. Umgekehrt wiederum kann sich bei einem zu langsamen Projektablauf das Engagement verlieren. Deshalb ist in den zeitlichen Planungen ein großes Augenmerk auf die Balance zwischen der ambitionierten Ausrichtung und dem Machbaren zu richten.

6. Schlanke Realisierungsmethoden nutzen: Die Höhe des Einführungs- und Administrationsaufwands trägt wesentlich zur Akzeptanz eines ISO/IEC-27001-basierten ISMS auf den Managementebenen bei. Allein aus diesem Grund sollten ressourcen- und kostenschonende Lean-Methoden eingesetzt werden, ohne dass sie jedoch zu Kompromissen bei den Qualitätszielen zwingen.

7. Augenmaß bei der Komplexität der Sicherheitsrichtlinie: Zwar muss den von der ISO-Norm geforderten Elementen einer Sicherheitsrichtlinie für das ISMS entsprochen werden. Aber in der Praxis haben sie mitunter einen Umfang von vielen Dutzend Seiten, der nicht praktikabel ist. Denn je komplexer sie sind, desto geringer ist die Bereitschaft, sich daran zu orientieren.

8. Keine standardisierte Policy aus anderen Quellen nutzen: Jedes Unternehmen hat ein spezielles organisatorisches Profil und individuelle Sicherheitsbedingungen. Dementsprechend lässt sich eine Security-Richtlinie auch nicht aus einem nach unklaren Kriterien entwickelten Standard ableiten, auch wenn dies auf den ersten Blick eine erhebliche Aufwandsersparnis verspricht.

9. Ausufernde Dokumentationen vermeiden: Ebenso ist es bei den ISO/IEC 27001-Dokumentationen hilfreich, sich an dem Prinzip „Think big, do small“ zu orientieren. Sie sollten inhaltlich die erforderliche Aussagekraft erlangen, sich dabei aber nicht in einer unnötigen Tiefe verlaufen.

10. Für ein breites ISMS-Verständnis sorgen: Das Informationssicherheits-Managementsystem funktioniert letztlich nur so gut, wie es von allen Prozessbeteiligten akzeptiert wird. Deshalb sind Awareness-Maßnahmen notwendig, die der aktiven Mitwirkung dienen. Wikis und andere Aktivitäten können zum internen ISMS-Marketing gehören.

11. Geschäftsleitung in die Schulungen einbeziehen: Erst wenn sich das Top-Management auch auf einer konkreten statt nur auf der abstrakten Ebene in dem Thema einfindet, wird es ein nachhaltiges Verhältnis für die Bedeutung eines ISMS entwickeln. Aus diesem Grund sollte es motiviert werden, zumindest partiell an den betreffenden ISO-Schulungen teilzunehmen.

12. Frühzeitig für eine KVP-Kultur sorgen: Zu den Grundgedanken der Norm gehört, dass die Sicherheitsmaßnahmen in Kontinuierlichen Verbesserungsprozessen (KVP) weiterentwickelt werden. Dies verlangt über entsprechende organisatorische Vorgehensweisen hinaus ein Selbstverständnis, das nicht von allein entsteht, sondern über Schulungen entwickelt werden muss.

Über den Autor

Robert Hellwig ist IT-Security-Analyst beim Beratungshaus Mikado AG.

(ID:42704891)